Anmälningsplikten ska fungera som en ”Lex Maria” för säkerhetsincidenter, och innebär att myndigheter som upptäcker en allvarlig sårbarhet, felaktig hantering eller hackerattacker måste rapportera till MSBs avdelning för säkerhetsfrågor Cert-se. 

Till en början kommer reglerna bara att gälla statliga myndigheter, men i framtiden är det möjligt att de även kommer att omfatta kommuner, landsting och vissa privata företag.

Läs också: Krav att rapportera it-haverier upprör experter – "Regeringen lyssnar inte"

– Vi har under en längre tid identifierat ett stort mörkertal vad gäller antalet kända säkerhetsincidenter, och det påverkar den gemensamma bilden av it-relaterade hot. Vi anser att det är viktigt att det finns en ordentlig sammanställning av incidenter så vi verkligen vet vad som sker, så att vi kan varna aktörer, både statliga och privata, tidigare och på ett mer adekvat sätt, säger Richard Oehne, verksamhetschef för samhällsinformation och cybersäkerhet på MSB.


Vad tror du att det nya regelverket kommer att få för respons?

– Jag tror att responsen kommer att vara övervägande positiv. Vi har arbetat med den här frågan sedan två år tillbaka och förberett oss så mycket vi kan, och vi har fram till april på oss att utveckla ett system som gör att det blir bra för alla aktörer.

Hur kommer det att påverka it-chefer, tror du?

– Det yttersta ansvaret ansvaret för en myndighet ligger ju hos generaldirektören. Generaldirektören kan delegera ansvaret till sin organisation på olika sätt, men det är inget vi lägger oss i, säger Richard Oehne.


Peter Haglind, CIO på Försvarsmakten, är nöjd med anmälningsplikten.

Peter Haglind
Peter Haglind, CIO på Försvarsmakten.


– Det är ett bra beslut. Det ökar kunskapen om säkerhetsläget inom it-området i stort och även medvetenheten om problemen. Kunskap och medvetenhet är viktiga pelare på vilka vi bygger ökad cybersäkerhet. It-relaterade brott ska liksom andra brott även i fortsättningen polisanmälas, men beslutet ger en viktig förutsättning för att bygga en mer heltäckande lägesbild.

Läs också: 8 tips för rivstart efter it-kraschen
 
Vad innebär det för er som myndighet?

– Försvarsmakten kommer på en aggregerad nivå att rapportera de it-säkerhetsincidenter som vi upptäckt till MSB, och vi kommer också att ta del av de inrapporterade incidenter som berör rikets säkerhet.
 
Och för dig som CIO?

– Det ger mig och Försvarsmakten en bättre lägesbild över aktuella it-hot, och förbättrar därmed förutsättningarna för att hantera dem och ytterligare höja vår it-säkerhet, säger han.


Susanne Edman, it-chef på Konsumentverket, håller med.

Susanne Edman
Susanne Edman, it-chef på Konsumentverket.


– Det är bra eftersom det ger möjlighet att få en överblick och statistik på området. För oss som myndighet innebär det en pålaga i form av administration om det skulle hända något som är aktuellt att rapportera.

Vad innebär det för dig som CIO?

– Om vi myndigheter kommer att få tillgång till aktuell, relevant statistik så har vi möjlighet att fatta bättre beslut avseende säkerhetshöjande åtgärder, säger hon.


Charlotte Örnlid, it-chef på Post- och telestyrelsen, är också positiv.

Charlotte Örnlid


– Med tanke på att möjligheterna att störa och avlyssna it-system ökar, tycker jag att det är bra att MSB får i uppdrag att samla in och analysera it-incidenter.

 Vad innebär det för er som myndighet?

– Att de incidenter som rapporteras in inom PTS också rapporteras vidare. Det innebär dock ingen teknisk utmaning för oss, då PTS redan har ett etablerat samarbete med MSB.

För dig som CIO då?

– Jag kan behöva vidta åtgärder ifall MSB:s analyser och återrapportering tydliggör risker som vi eventuellt inte hittills har uppmärksammat, säger hon.